Achat de cloud par le secteur public - Manuel - Comprenant des exemples de clauses d'appels d'offres - CISPE
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Achat de cloud par le secteur public
Manuel - Comprenant des exemples de clauses
d’appels d’offresAchat de cloud par le secteur public
Mentions légales
Ce document est fourni à titre informatif uniquement. Il n’a pas été développé conformément aux
exigences légales concernant les passations de marchés publics dans une région en particulier. Il incombe
aux clients cloud de procéder à leur propre évaluation indépendante des informations contenues dans ce
document. Chaque client est également responsable de l'usage qu'il fait des produits ou services d’un
fournisseur de cloud. Ce document ne crée pas de garanties, représentations, engagements contractuels,
conditions ni assurances.
Les exemples de clauses ne doivent pas être interprétés comme des avis ou conseils juridiques. Les clients
cloud doivent consulter leurs propres conseillers juridiques au sujet de leurs responsabilités en vertu de la
loi applicable dans le pays où ils mènent leurs opérations. CISPE décline expressément toute garantie,
responsabilité ou tout dommage associé aux ou découlant des informations fournies dans le présent
document.
2Achat de cloud par le secteur public
À propos du CISPE
CISPE (Cloud Infrastructure Services Providers in Europe, https://cispe.cloud) est une coalition industrielle
indépendante à but non lucratif. Nous représentons les fournisseurs de service d’infrastructure de cloud
en Europe et travaillons avec le secteur et les responsables politiques pour conseiller et donner des
formations sur les services de cloud et leur rôle dans le secteur, la vie publique et la société en général.
Nos membres, dont le nombre est en augmentation constante, comprennent des entreprises menant leurs
opérations dans tous les pays de l’UE et dont les sièges sociaux sont situés dans 16 pays européens.
L’association est ouverte aux entreprises à condition qu’elles déclarent qu’au moins un de leurs services
répond aux exigences du Code de conduite de protection des données du CISPE. Nous :
Défendons les avantages des politiques de passation de marché public donnant la priorité au cloud
dans l’UE et ses États membres
Soutenons des exigences de sécurité et des normes techniques cohérentes à l’échelle de l’UE
Respectons des exigences de confidentialité exhaustives avec un Code de conduite
Œuvrons à la conservation de l’ouverture, de la compétitivité et du non-enfermement du marché
de l’infrastructure de cloud dans l’UE
Empêchons les obligations de supervision de contenu injustifiées dans le cadre juridique de l’UE
Nos membres fournissent et maintiennent les principaux « blocs de construction informatiques » grâce auxquels
le gouvernement, les autorités publiques et les entreprises peuvent créer leurs propres systèmes et fournir des
services essentiels à des milliards de citoyens. Dans cette optique, nous favorisons le développement de
technologies et services de pointe intégrant l’intelligence artificielle (IA), les objets connectés, les véhicules
autonomes et la 5G, ainsi que la nouvelle génération de technologie de connectivité cellulaire.
Code de conduite relatif aux services d’infrastructure de cloud
Le code de conduite CISPE a précédé l’entrée en vigueur du Règlement général sur la protection des
données (RGPD). Il s’aligne sur les exigences strictes du RGPD pour aider les fournisseurs d’infrastructure
de cloud à ainsi respecter et offrir un cadre solide, permettant aux clients de choisir des fournisseurs de
cloud et de compter sur leurs services. Plus de 100 services sont déclarés dans le Code de conduite CISPE,
fournis par plus de 30 entreprises basées dans plus de 16 États membres de l’UE et utilisés par des millions
d’utilisateurs finaux et de consommateurs. https://cispe.cloud/code-of-conduct/
CISPE et le secteur public
CISPE contribue au débat sur la politique publique européenne et œuvre pour assurer une meilleure
compréhension du rôle, de la participation et du potentiel du secteur de l’infrastructure de cloud en
Europe.
Le modèle d’achat public doit conditionner le processus d’adoption et d’utilisation du cloud computing,
mais l’acquisition de services de cloud diffère de la plupart des acquisitions de technologies traditionnelles
que connaît le secteur public. Les approches d’approvisionnement doivent être repensées : CISPE
encourage les décideurs de l’UE à développer une approche plus ambitieuse et tournée vers l’avenir à
l’échelle de l’UE, en s’appuyant sur des initiatives de politique « cloud first », qui favorisent la croissance
du marché de l’infrastructure de cloud unique en Europe et les objectifs de croissance du Marché unique
numérique (MUN) qui les sous-tendent.
Le but de ce manuel est de fournir des conseils et un support aux autorités publiques pour l’acquisition de
services de cloud.
3Achat de cloud par le secteur public
En savoir plus
Membres du CISPE : https://cispe.cloud/members
Comité exécutif : https://cispe.cloud/board-of-directors
Services de cloud computing déclarés selon le Code de conduite CISPE : https://cispe.cloud/publicregister
Table des matières
Mentions légales ........................................................................................................................................... 2
À propos du CISPE ......................................................................................................................................... 3
Table des matières ........................................................................................................................................ 4
Résumé et objectif de ce manuel .................................................................................................................. 1
1.0 Vue d’ensemble d’un accord-cadre de cloud ................................................................................... 3
2.0 Vue d’ensemble de l’AO de services de cloud .................................................................................. 7
2.1 Mise en place de l’AO de services de cloud................................................................................... 7
2.1.1 Introduction et objectifs stratégiques ................................................................................... 7
2.1.2 Calendrier de réponse à l’AO............................................................................................... 10
2.1.3 Définitions ........................................................................................................................... 11
2.1.4 Description détaillée du modèle d’achat et de la concurrence dans l’accord-cadre ........... 12
2.1.5 Exigences minimales pour le soumissionnaire - Administratif............................................. 16
2.2 Technique .................................................................................................................................... 18
2.2.1 Exigences minimales............................................................................................................ 18
2.2.2 Comparaison entre les fournisseurs .................................................................................... 21
2.2.3 Établissement de contrat .................................................................................................... 23
2.3 Sécurité ....................................................................................................................................... 25
2.3.1 Exigences minimales............................................................................................................ 25
2.3.2 Comparaison entre les fournisseurs .................................................................................... 29
2.3.3 Établissement de contrat .................................................................................................... 30
2.4 Tarification .................................................................................................................................. 30
2.4.1 Exigences minimales............................................................................................................ 31
2.4.2 Comparaison entre les fournisseurs .................................................................................... 32
2.5 Configuration de l’exécution du contrat/Conditions générales................................................... 35
2.5.1 Conditions générales ........................................................................................................... 35
2.5.2 Comment faire un choix parmi les bénéficiaires par projet ................................................ 38
2.5.3 Intégration et départ ........................................................................................................... 38
3.0 Meilleures pratiques/Leçons apprises ............................................................................................ 38
3.1 Gouvernance du cloud ................................................................................................................ 38
3.2 Budgétisation pour le cloud ........................................................................................................ 39
3.3 Comprendre le modèle commercial du partenaire ..................................................................... 41
3.4 Courtiers de cloud ....................................................................................................................... 41
3.5 Approvisionnement pré-AO/étude de marché ............................................................................ 42
Annexe A - Exigences techniques pour la comparaison entre les soumissionnaires ................................... 43
1. Profil de fournisseur cloud .................................................................................................................. 43
4Achat de cloud par le secteur public
2. Infrastructure mondiale ...................................................................................................................... 43
3. Infrastructure. ..................................................................................................................................... 44
3.1 Calcul ............................................................................................................................................ 44
3.2 Mise en réseau ............................................................................................................................. 47
3.3 Stockage ....................................................................................................................................... 51
4. Administration ................................................................................................................................ 55
5. Sécurité ........................................................................................................................................... 56
6. Conformité...................................................................................................................................... 58
7. Migrations....................................................................................................................................... 64
8. Facturation ..................................................................................................................................... 66
9. Gestion ........................................................................................................................................... 67
10. Support ......................................................................................................................................... 69
Annexe B - Démonstration .......................................................................................................................... 71
v 2020 05 11
5Achat de cloud par le secteur public
Résumé et objectif de ce manuel
L’objectif de ce Manuel d’achat de services de cloud est de fournir des conseils aux clients cloud qui
souhaitent acheter des services de cloud grâce à un processus d’acquisition compétitif (Appel d’offres de
services de cloud - AO), mais qui n’ont pas l’expérience nécessaire pour créer un accord-cadre de cloud.
Ce document est fourni à titre informatif uniquement. Il n’a pas été développé conformément aux
exigences légales concernant les passations de marchés publics dans une région ou un pays en particulier.
Le manuel se penche également sur les critères de sélection supplémentaires pour les contrats exécutoires
ou mini compétitions lors de l’achat d’un accord-cadre de cloud. Les sections du manuel sont organisées de
la même façon qu’un AO informatique générique. Les exemples d’AO générique et de texte de critères de
sélection sont accompagnés d’une explication aidant à comprendre pourquoi un AO de cloud est différent
d’un AO informatique traditionnel.
« Services de cloud » désigne toutes les technologies cloud et les services associés auxquels un
utilisateur final peut avoir besoin d’accéder. Cela inclut le consulting ou les services
professionnels/managés nécessaires pour soutenir et exécuter la migration vers le cloud et soutenir les
charges de travail dans le cloud, en plus de l’infrastructure de cloud elle-même et les services de
marketplace de cloud tels que les produits Logiciels en tant que service (SaaS).
L’émergence du cloud computing en tant que choix par défaut pour l’informatique du secteur public est
l’occasion de moderniser les stratégies d’approvisionnement existantes. Les processus d’acquisition axés
sur le cloud peuvent permettre à des entités du secteur public de bénéficier de tous les avantages du cloud,
comme l’accès à une innovation de pointe, une vitesse et une capacité d'adaptation supérieures, une
sécurité et une gestion de la conformité améliorées, tout en atteignant efficacité et réduction des coûts.
Les méthodes d’approvisionnement informatique traditionnelles pour l’achat de matériel, de logiciels et de
Datacenters ne s’appliquent pas à l’achat de services de cloud. Les approches de la tarification, de la
gouvernance de contrat, des conditions générales, de la sécurité, des exigences techniques, des contrats
de niveau de service, etc. sont différentes dans un modèle de cloud. L’utilisation de méthodes
d’approvisionnement existantes réduit ou élimine les avantages fournis par le cloud.
L’un des meilleurs moyens d’acquérir efficacement des services de cloud pour le secteur public consiste à
passer par un accord-cadre de cloud, une attribution multi-organisationnelle d’un menu de clouds, à partir
duquel les acheteurs éligibles affiliés à l’organisation effectuant l’achat peuvent acquérir les technologies
cloud et les services associés répondant à leurs besoins. Véritable vecteur des contrats de cloud, les
accords-cadres permettent d’acheter efficacement des services de cloud. Les organisations effectuant
l’achat et les entités d’utilisateurs finaux ont ainsi accès à un éventail complet de services de cloud et
bénéficient de tous les avantages du cloud : adaptabilité, importantes économies à grande échelle,
évolutivité pour bénéficier d’une disponibilité supérieure à un prix inférieur, étendue des fonctionnalités,
rythme d’innovation et capacité à évoluer dans de nouveaux secteurs géographiques.
Notez que ce document se concentre sur l’achat de technologies cloud d’infrastructure en tant que service
(IaaS) et de plateforme en tant que service (PaaS), fournies par un CISP (Cloud Infrastructure Service Provider,
Fournisseur de service d’infrastructure de cloud). Ces technologies cloud peuvent être achetées directement
1Achat de cloud par le secteur public
auprès d’un CISP ou via un revendeur CISP. D’autres considérations d’AO seraient requises pour les
distributeurs de services marketplace de cloud (PaaS et SaaS) et les services de consulting relatifs au cloud.
Veuillez noter également que ce document ne couvre pas tous les aspects de la création d’un cadre
d’approvisionnement de cloud de bout en bout. De nombreux autres documents du secteur et d’analystes
couvrent des sujets tels que les bonnes pratiques d’approvisionnement cloud, la budgétisation pour le
cloud, la gouvernance du cloud, etc. Nous vous conseillons vivement de prendre en compte ces conseils et
documents lors du développement d’une stratégie d’approvisionnement de cloud globale.
Le Tableau 1 ci-dessous offre un aperçu du manuel d’AO de services de cloud et de la localisation d’un
exemple d’AO pour chaque composant d’un AO de services de cloud.
Tableau 1 : Sommaire des sections du manuel d’AO de services de cloud
Section Vue d’ensemble et exemple de texte d’AO
1.0 Vue d’ensemble d’un accord-cadre Aperçu général du modèle d’accord-cadre de cloud (LOT, comment être compétitif
de cloud et contrat)
2.0 Vue d’ensemble de l’AO de services Exemple générique de texte d’AO couvrant les sections ci-dessous, et commentaire
de cloud expliquant la logique de la structure d’AO de services de cloud et le texte utilisé.
2.1.1 Introduction et objectifs stratégiques
2.1.2 Calendrier de réponse à l’AO
2.1 Mise en place de l’AO de services 2.1.3 Définitions
de cloud 2.1.4 Description détaillée du modèle d’achat et de la concurrence dans l’accord-
cadre
2.1.5 Exigences minimales pour le soumissionnaire - Administratif
2.2.1 Exigences minimales
2.2 Technique 2.2.2 Comparaison entre les fournisseurs
2.2.3 Établissement de contrat
2.3.1 Exigences minimales
2.3 Sécurité 2.3.2. Comparaison entre les fournisseurs
2.3.3 Établissement de contrat
2.4.1 Exigences minimales
2.4 Tarification
2.4.2 Comparaison entre les fournisseurs
2.5.1 Conditions générales
2.5 Configuration de l’exécution du
2.5.2 Comment faire un choix parmi les bénéficiaires par projet
contrat/Conditions générales
2.5.3 Intégration et départ
3.1 Gouvernance du cloud
3.2 Budgétisation pour le cloud
3.0 Meilleures pratiques/Leçons
3.3 Comprendre le modèle commercial du partenaire
apprises
3.4 Courtiers de cloud
3.5 Approvisionnement pré-AO/étude de marché
2Achat de cloud par le secteur public
Section Vue d’ensemble et exemple de texte d’AO
Annexe A - Exigences techniques pour la
Liste d’exigences technologiques cloud génériques pour contrats exécutoires ou
comparaison entre les
mini compétitions
soumissionnaires
Exemple de script pour le produit de technologie cloud expliquant la notation
Annexe B - Démonstration
(démos cloud dans le cadre d’un contrat exécutoire ou d’une mini compétition)
1.0 Vue d’ensemble d’un accord-cadre de cloud
Un accord-cadre de cloud bien conçu peut permettre d’acheter des services de cloud de manière
avantageuse pour les organisations du secteur public et les fournisseurs de cloud participants. Les
avantages d’un accord-cadre de cloud bien conçu comprennent :
Nature coopérative :
o L’association de plusieurs organisations afin de passer des commandes pour des exigences
similaires offre commodité, efficacité, coûts réduits et simplification du processus de
commande. Elle constitue un bon moyen de regrouper la demande de plusieurs
organisations du secteur public pour les technologies cloud communes et les services de
cloud associés, comme les solutions marketplace et le consulting.
Gamme complète de services de cloud :
o Un accord-cadre de Cloud peut inclure tous les services de
consulting/professionnels/managés nécessaires pour soutenir et exécuter entièrement la
migration vers le cloud et les applications associées dans le cloud, en plus des technologies
cloud fournies par le CISP et des solutions marketplace.
o Ces technologies cloud peuvent être achetées directement auprès d’un CISP ou via un
revendeur désigné.
Gouvernance de contrat :
o Un accord-cadre de Cloud fédère des acheteurs appartenant à diverses organisations
autour d'un ensemble commun de conditions générales et d'un contrat principal unique,
plutôt que d'avoir des contrats distincts pour chaque organisation.
o Il profite également aux fournisseurs, car il offre une procédure d'acquisition, des
conditions générales et un mécanisme de commande standard, plutôt que des processus
propres à chaque organisation du secteur public.
o Il offre de la flexibilité. La création, l’approbation et l’exécution d’un contrat cloud efficace
dans le respect des politiques/réglementations gouvernementales existantes nécessitent
des essais et la capacité à s’adapter rapidement. Il est plus intéressant de créer un accord-
cadre favorisant la collaboration entre le secteur public et les fournisseurs de cloud en vue
de l’amélioration du contrat, de manière contractuelle, mécanique et efficace. Un contrat
sur plusieurs années qui n’est pas adapté et ne peut pas être ajusté aboutit à une mauvaise
expérience pour les utilisateurs finaux du secteur public, les organisations
d’approvisionnement et les fournisseurs de cloud.
3Achat de cloud par le secteur public
Choix :
o Un accord-cadre de Cloud permet aux acheteurs de faire leur choix parmi plusieurs CISP
qualifiés et place la barre haut pour tous les services de cloud et services associés, comme
un marché PaaS/SaaS de cloud et le consulting relatif au cloud.
o Il permet de contrôler le nombre de fournisseurs sur un cadre donné, veillant ainsi à ce
que le standard de chaque entité bénéficiaire soit correctement examiné.
Un accord-cadre pour acheter des services de cloud est plus efficace lorsqu’il inclut des technologies
IaaS/PaaS fournies par des CISP, ainsi qu’un marché PaaS/SaaS, et les services de consulting auxquels les
utilisateurs finaux du serveur public peuvent accéder, si nécessaire, pour obtenir de l’aide dans la
planification, la transition, l’utilisation et l’entretien d’une application qui s’exécute dans le cloud. Par
conséquent, nous recommandons de diviser un AO de services de cloud visant à mettre en place un accord-
cadre de cloud en trois lots, comme indiqué ci-dessous :
LOT 1 : TECHNOLOGIES CLOUD
Technologies cloud achetées directement auprès d’un CISP ou via un revendeur CISP désigné.
LOT 2 : MARKETPLACE
Accès à une marketplace de services PaaS et SaaS.
LOT 3 : CONSULTATING RELATIF AU CLOUD
Services de consulting liés au cloud (formation, services professionnels, services managés, etc.) et
support technique.
Comme indiqué précédemment, ce document se concentre sur l’achat de technologies cloud IaaS et
PaaS (LOT 1) telles que fournies par un CISP (achetées directement auprès d’un CISP ou d’un revendeur
CISP). Des exigences de qualification de fournisseur distinctes seraient nécessaires pour les fournisseurs
des LOTS 2 et 3 d’un AO de services de cloud.
L’image 1 ci-dessous présente une vue générale de la façon dont un AO de services de cloud bien structuré,
divisé entre ces trois lots, peut mener à un accord-cadre de cloud fournissant aux entités du secteur public
de l’adaptabilité (à la fois technique et contractuelle), de la visibilité et un contrôle des dépenses et de
l’utilisation cloud, ainsi que la possibilité de bénéficier de tous les services cloud nécessaires à la création
et au maintien des solutions dont elles ont besoin.
4Achat de cloud par le secteur public
Image 1 : un AO de services de cloud réussi se divise en trois lots. Chaque lot contient des catégories ou « types
d’offres » sous le lot correspondant, visant à assurer l’adéquation technique et contractuelle pour répondre aux
exigences de l’utilisateur final lors de l’achat de l’accord-cadre de cloud.
Notez que :
Chaque lot contient plusieurs attributions.
Le LOT 3 peut être attribué via un autre AO ou via un contrat existant pour des services de
consulting.
Catégories du LOT 1
Les accords-cadres de cloud réussis demandent aux CISP de décrire le modèle de cloud qu’ils proposent,
divisé en catégories sous chaque lot. Nous recommandons l’utilisation du standard du secteur pour le cloud
computing (les caractéristiques cloud essentielles du National Institute of Standards and Technology (NIST))
en ce qui concerne les définitions de cloud public, du cloud communautaire et du cloud privé. Une telle
structure d’accord-cadre de cloud permet à l’agence effectuant l’achat et aux organismes publics utilisant
le cadre de faire leur choix parmi différents modèles de cloud adaptés à leurs besoins.
Consultez la Section 2.1.3 Définitions pour accéder à la définition du NIST de chaque modèle de cloud sous
le LOT 1 (IaaS/PaaS public, IaaS/PaaS communautaire et IaaS/PaaS privé).
Comment être compétitif : contrats exécutoires ou mini compétitions ?
Les critères de qualification pour un AO de services de cloud doivent couvrir des éléments essentiels et des
standards minimaux, et ne doivent pas inclure des standards « qu’il serait bon d’avoir ». En cas d’ajout de
5Achat de cloud par le secteur public
standards supplémentaires dépassant la référence des fournisseurs qualifiés pour le cadre, certains
fournisseurs peuvent se retrouver dans l’incapacité de faire une offre. Cette situation peut mener à une
limitation du choix pour les acheteurs.
Suite à l’AO et à la mise en place de l’accord-cadre de cloud, les organismes du secteur public bénéficiaires
peuvent commander ou annuler les services de cloud lorsqu’ils en ont besoin. La conclusion d’un contrat
exécutoire en vertu d’un accord-cadre permet aux acheteurs d’affiner leurs exigences en ajoutant des
spécifications fonctionnelles pour une annulation, tout en conservant les avantages offerts par l’accord-
cadre.
Si nécessaire, une mini compétition peut être organisée afin d’identifier le meilleur fournisseur pour une
application ou un projet en particulier. Au cours d’une mini compétition, un client ouvre la compétition en
vertu de l’accord-cadre et invite tous les fournisseurs d’un lot à répondre à un ensemble d’exigences. Le
client invitera tous les fournisseurs aptes dans le lot à faire une offre, ce qui souligne l’importance des
exigences minimales pour les bénéficiaires d’un AO de services de cloud : elles garantissent un grand
nombre d’options pour chaque lot.
Notez qu’il est important de disposer d’ensembles distincts de conditions générales de contrat pour
chacun des lots répertoriés dans l’image 1 ci-dessus. Une approche unique pour les contrats de tous les
lots créerait des problèmes en termes de compatibilité et de faisabilité technique.
6Achat de cloud par le secteur public
2.0 Vue d’ensemble de l’AO de services de cloud
Cette section décrit le modèle et la portée de l’AO de services de cloud, comprenant les objectifs
stratégiques, les participants, les définitions, le calendrier et les exigences administratives minimales. Notez
à nouveau que ce manuel se concentre sur le LOT 1 : TECHNOLOGIES CLOUD.
2.1 Mise en place de l’AO de services de cloud
Nous recommandons vivement aux entités du secteur public de clarifier leurs objectifs et exigences de haut
niveau dans l’Introduction d’un AO de services de cloud.
2.1.1 Introduction et objectifs stratégiques
Pour plus de clarté en termes d’objectifs stratégiques, une bonne pratique consiste à exposer dans
l’introduction d’un AO de services de cloud : (1) les objectifs et avantages commerciaux que l’organisation
souhaite atteindre en utilisant le cloud ; (2) la structure de l’accord-cadre : qui achète, qui exploite, qui
définit le budget, etc. ; (3) une explication claire du modèle de responsabilité partagée entre le secteur
public et les fournisseurs de cloud, essentielle à la réussite de l’achat et de l’utilisation du cloud ; et (4) le
type de relation créée entre les fournisseurs de service de cloud (CISP), les distributeurs des services de
marché, les partenaires de consulting, les agences d’approvisionnement gouvernementales, et les
utilisateurs finaux du gouvernement. L’articulation de ces quatre points aide les organisations à bâtir un AO
qui répond pour le mieux à leurs besoins, en plus de veiller à ce que les clients comme les fournisseurs
comprennent bien les objectifs de l’AO.
Un AO de cloud est volontairement différent des AO informatiques traditionnels. La technologie cloud
ne remplace pas à l’identique les méthodes de calcul traditionnelles. Elle introduit une toute nouvelle
façon d’utiliser la technologie. Les AO de services de cloud bien conçus peuvent aider les entités du
secteur public à évoluer rapidement pour tirer parti du cloud.
Parmi tous les aspects d’achat de cloud que nous citons en tant que bonnes pratiques, le meilleur point de
départ est probablement une bonne compréhension du modèle de responsabilité partagée. Le modèle de
responsabilité partagée1 est surtout utilisé pour ce qui a trait à la sécurité et à la conformité dans le cloud,
mais cette définition des responsabilités s'applique à tous les aspects des technologies cloud. Un AO de
services de cloud doit définir clairement ce qui fait partie des attributions d'un CISP dans un environnement
cloud et ce qui relève de la responsabilité du client. Par exemple, un CISP fournit des fonctionnalités de
supervision des ressources et applications qui s’exécutent dans le cloud, mais la responsabilité d’utiliser ces
fonctionnalités fournies par le CISP revient au client. En effet, un CISP agissant à grande échelle n’est pas
censé faire cela pour des millions de clients.
De plus, les clients cloud doivent comprendre comment le réseau de partenaires d’un CISP permet aux
clients d’utiliser le cloud et de gérer leurs responsabilités. Par exemple, un fournisseur de service managé
(MSP, Managed Service Provider) cloud peut aider un client à configurer et utiliser des fonctionnalités de
supervision fournies par un CISP, afin de répondre à leurs exigences uniques de conformité et d’audit.
1
Consultez la Section 5 du Code de conduite pour les fournisseurs de services d’infrastructure de cloud : https://cispe.cloud/website_cispe/wp-
content/uploads/2017/06/Code-of-Conduct-27-January-2017-corrected-march-20.pdf
7Achat de cloud par le secteur public
En d'autres termes, les responsabilités au sein du modèle de cloud sont les suivantes :
Un CISP fournit une technologie cloud
Un client utilise la technologie cloud
Les entreprises de consulting (le cas échéant) aident un client à accéder à la technologie cloud et à
l’utiliser
Les « entreprises de consulting » sont des entreprises de consulting et de services
managés/professionnels qui aident les clients à concevoir, bâtir, créer, procéder à la migration et gérer
leurs charges de travail et applications dans le cloud. Ces entreprises comprennent les intégrateurs
système, les entreprises consulting stratégique, les agences, les fournisseurs de services gérés et les
revendeurs à valeur ajoutée.
Considérez l’achat de services de cloud comme l’achat dans un magasin de bricolage. Les magasins de
bricolage
.
proposent un vaste ensemble de matériaux et d’outils pour créer ce dont vous avez besoin. Vous
pouvez fabriquer une armoire ou une piscine, ou même toute une maison, si vous le souhaitez. Lorsque
vous achetez des matériaux et des outils, l’équipe du magasin de bricolage peut vous donner des conseils
et vous faire profiter de son savoir-faire, mais elle ne peut pas venir chez vous et créer quelque chose pour
vous. Plusieurs options s’offrent alors à vous :
1. Acheter les matériaux et outils vous-même et fabriquer quelque chose.
2. Acheter les matériaux et outils vous-même et engager quelqu’un qui fabriquera et/ou utilisera
quelque chose pour vous.
3. Engager quelqu’un qui fabriquera/utilisera quelque chose pour vous, et lui demander de fournir
les matériaux et outils nécessaires dans le cadre de son offre globale.
Si une organisation possède les compétences internes pour créer et gérer elle-même son environnement
cloud et ses solutions, elle n’a besoin que de l’accès aux technologies et outils cloud standardisés du CISP
(directement auprès d’un CISP ou via un revendeur CISP ; voir LOT 1). Les logiciels SaaS et PaaS nécessaires
doivent être disponibles sur une marketplace cloud (LOT 2). Si une aide supplémentaire en consulting,
migration, implémentation et/ou gestion est nécessaire, le réseau de partenaires d’un CISP entre en jeu
(LOT 3).
Exemple de texte d’AO : introduction et objectifs stratégiques
Le cloud computing offre aux organisations du secteur public un accès rapide à une large gamme de ressources
informatiques flexibles et économiques, avec paiement en fonction de l’utilisation réelle. Les organisations peuvent
fournir le type et la taille des ressources adaptés dont ils ont besoin pour alimenter leurs nouvelles idées ou exploiter
leurs services informatiques. Les investissements importants dans le matériel et/ou les contrats de licence logicielle à
long terme ne sont plus nécessaires.
L’ formule l’exigence de pouvoir accéder à ces types de technologies cloud commercialement
disponibles afin de pouvoir répondre à ses besoins commerciaux dans un large éventail d’organisations affiliées.
8Achat de cloud par le secteur public
Le principal objectif du présent AO est d’attribuer un parallèle non exclusif avec jusqu’à
fournisseurs représentant différentes technologies cloud, ainsi que des services liés au cloud.
1. LOT 1. Fournisseurs de services cloud (CISP) ou revendeurs CISP pour l’achat de technologies cloud
2. LOT 2. Fournisseurs de services de marketplace.
3. LOT 3. Fournisseurs de services de consulting pour apporter leur expertise supplémentaire dans la migration
vers ces offres CISP et leur utilisation
Concernant le LOT 1, les organisations offrantes (CISP ou revendeurs CISP) doivent expliquer comment leur offre répond
à ces objectifs :
Adaptabilité : mettre les ressources informatiques à la disposition des utilisateurs finaux en quelques minutes
au lieu des délais traditionnels de plusieurs semaines ou mois.
Innovation : bénéficier d’un accès instantané aux technologies les plus récentes et innovantes sur le marché.
Coût : remplacer les dépenses de capital par des dépenses variables (par ex. CapEx contre OpEx). Ne payer
que ce qui est consommé.
Budgétisation : consulter les informations de facturation et d’utilisation au niveau granulaire etau niveau
global, en visualisant les schémas de dépenses au fil du temps, en plus de prévoir les dépenses futures.
Souplesse : bénéficier de coûts variables réduits grâce à des économies d’échelle supérieures fournies par le
cloud.
Capacité : éliminer les hypothèses en termes de besoins de capacité d’infrastructure.
Cesser de s’appuyer sur les Datacenters : se concentrer sur l’activité de nos citoyens et non sur les tâches
fastidieuses et à faible valeur ajoutée consistant à racker, à stocker et à alimenter des serveurs.
Sécurité : formaliser la conception de compte avec une visibilité et une auditabilité supérieures des ressources,
et éliminer le coût de protection des sites et du matériel physique.
Responsabilité partagée : soulager la charge opérationnelle car le CISP exploite, gère et contrôle les
composants depuis le système d'exploitation hôte jusqu'à la sécurité physique des installations dans lesquelles
les services sont exploités, en passant par la couche de virtualisation.
Automatisation : intégrer l’automatisation dans l’architecture de cloud pour améliorer la capacité à évoluer
en toute sécurité, de manière plus rapide et économique.
Gouvernance cloud : (1) commencer par un inventaire complet de toutes les ressources informatiques ; (2)
gérer toutes ces ressources de manière centralisée ; et (3) créer des alertes sur l’utilisation/la facturation/la
sécurité/etc., avec des fonctionnalités pour le suivi des ressources, la gestion des stocks, la gestion des
modifications, la gestion et l’analyse des journaux, ainsi que la visibilité globale et la gouvernance cloud.
Contrôle : bénéficier d’une visibilité complète sur la consommation des services informatiques et sur leur
adaptation en termes de sécurité, de fiabilité, de performances et de coûts.
Réversibilité : outils et services de portabilité pour aider à migrer vers et depuis l’infrastructure du CISP, en
minimisant la dépendance au fournisseur et dans le respect du ou des codes de conduite du secteur.
9Achat de cloud par le secteur public
Protection des données : capacité à démontrer la conformité au Règlement général sur la protection des
données (RGPD), via un code de conduite de secteur dédié pour les services d’infrastructure de cloud : le Code
de conduite de protection des données du CISPE.
Transparence : les clients doivent être autorisés à connaître la localisation des infrastructures utilisées pour
traiter et stocker leurs données (quartier).
2.1.2 Calendrier de réponse à l’AO
La bonne pratique consiste à fournir aux soumissionnaires un calendrier de l’activité d’offre prévue lors de
la création d’un accord-cadre de cloud et de l’AO de services de cloud associé. Il est préférable de s’engager
fortement avec le secteur, car toutes les parties pourront ainsi clairement comprendre les exigences de
l’AO et la manière dont tous les services de fournisseurs s’adaptent au modèle de services de cloud.
Notez que le calendrier de l’AO est soumis aux lois locales et aux obligations légales. La liste fournie ci-
dessous est conçue pour être un guide de bonnes pratiques, par opposition à une liste normative d’activités
et de délais.
Exemple de texte d’AO : délai de réponse
Consultez le calendrier ci-dessous pour l’AO de services de cloud :
Calendrier de l’AO de services de cloud
Publication de la demande d’informations (RFI, Request for Information) :
Réponse à l’AO :
Publication de la version préliminaire de l’appel d’offres (AO) :
Date d’échéance de la version préliminaire de la réponse à l’AO :
Phase de consultation du secteur :
Publication AO préqualification :
Réponse AO préqualification :
Publication AO :
Date d’échéance des questions du 1er tour :
Réponses du 1er tour :
Date d’échéance des questions du 2e tour :
Réponses du 2e tour :
Date d’échéance de la réponse à l’AO :
Période de clarification de l’offre :
Période de négociation
Date d’intention d’attribution :
Attribution de contrat :
Durée du contrat (options de prolongation) :
Notez que le calendrier de l’AO est soumis aux lois locales et aux obligations légales. La liste fournie ci-
dessous est conçue pour être un guide de bonnes pratiques, par opposition à une liste normative d’activités
et de délais.
10Achat de cloud par le secteur public
2.1.3 Définitions
Un AO de services de cloud doit inclure une liste détaillée de définitions. Cette liste inclut les rôles du
fournisseur (par ex., fournisseur de service de cloud, revendeur cloud, partenaire fournisseur), les concepts
technologiques généraux (serveur / instance, stockage, IaaS/PaaS, SaaS) et les autres éléments essentiels
de l’accord. Vous trouverez ci-dessous un exemple de liste de définitions :
Exemple de texte d’AO : définitions
Les définitions ci-dessous sont les définitions du cloud computing du National Institute of Standards and Technology
(NIST).2
- Infrastructure en tant que service (IaaS). La fonctionnalité fournie au consommateur est d’apporter des
capacités de mise en service, de traitement, de stockage, de réseaux et d'autres ressources de calcul
fondamentales permettant au consommateur de déployer et d'exécuter des logiciels de son choix, ce qui peut
inclure des systèmes d'exploitation et des applications. Le consommateur ne s’occupe pas de la gestion et du
contrôle de l’infrastructure de cloud sous-jacente, mais exerce un contrôle sur les systèmes d’exploitation, le
stockage et les applications déployées, et éventuellement un contrôle limité sur certains composants de mise
en réseau (par ex., pare-feu hôte).
- Plateforme en tant que service (PaaS). Le client bénéficie de la capacité à déployer sur l’infrastructure de cloud
des applications créées ou acquises par le consommateur, créées à l’aide de langages de programmation, de
bibliothèques, de services et d’outils pris en charge par le fournisseur. Le consommateur ne s’occupe pas de
la gestion et du contrôle de l’infrastructure de cloud sous-jacente, comprenant le réseau, les serveurs, les
systèmes d’exploitation ou le stockage, mais contrôle les applications déployées et éventuellement les
paramètres de configuration pour l’environnement d’hébergement d’application.
- Logiciel en tant que service (SaaS). Le client a la capacité d’utiliser les applications du fournisseur s’exécutant
sur une infrastructure de cloud. Les applications sont accessibles à partir de différents appareils de client grâce
à une interface client léger, comme un navigateur Web (par ex., courriel accessible sur le Web) ou une
interface de programme. Le consommateur ne s’occupe pas de la gestion et du contrôle de l’infrastructure de
cloud sous-jacente comprenant le réseau, les serveurs, les systèmes d’exploitation, le stockage, ou même les
fonctionnalités d’application individuelles, à l’exception peut-être des paramètres limités de configuration
d’application spécifiques à l’utilisateur.
- Cloud public. L’infrastructure de cloud est mise à disposition pour une utilisation ouverte par le grand public.
Elle peut être détenue, gérée et exploitée par une organisation commerciale, académique ou
gouvernementale, ou plusieurs organisations de ces types. Elle existe sur le site du fournisseur de cloud.
- Cloud communautaire. L’infrastructure de cloud est mise à disposition pour une utilisation exclusive par une
communauté spécifique de consommateurs provenant d’organisations partageant les mêmes inquiétudes
(par ex., mission, exigences de sécurité, politique et considérations en matière de conformité). Elle peut être
détenue, gérée et exploitée par une ou plusieurs organisations de la communauté, un tiers ou plusieurs
organisations et tiers, et peut exister sur site ou hors site.
- Cloud hybride. L’infrastructure de cloud est composée de deux infrastructures de cloud distinctes ou plus
(privé, communautaire, ou public) qui restent des entités uniques, mais sont associées par une technologie
normalisée ou propriétaire qui permet la portabilité des données et des applications (par ex., « cloud
bursting » pour l’équilibrage de charge entre les clouds).
2
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf
11Achat de cloud par le secteur public
- Cloud privé. L’infrastructure de cloud est mise à disposition pour un usage exclusif par une seule organisation
comprenant plusieurs consommateurs (par ex., unités commerciales). Elle peut être détenue, gérée et
exploitée par l’organisation, un tiers ou plusieurs organisations et tiers, et peut exister sur site ou hors site.
2.1.4 Description détaillée du modèle d’achat et de la concurrence dans l’accord-cadre
Comme indiqué ci-dessus, les organisations du secteur public doivent identifier le modèle de
fonctionnement d’un accord-cadre en tant que mécanisme d’achat pour les technologies cloud, et les
services associés de mise en œuvre et de gestion. Ce point doit être clarifié dans l’AO de services de cloud,
afin que les fournisseurs de technologie cloud, les organisations de services de consulting, les distributeurs
marketplace et les entités acheteuses comprennent leurs rôles respectifs.
Concernant la portée de l’accord-cadre, et conformément aux contrats exécutoires ou mini compétitions,
les organisations doivent tenir compte des points suivants :
Qui sera responsable de l’intégration et des services managés impliquant l’utilisation des
technologies cloud en vertu du contrat.
Est-il nécessaire qu’un revendeur/partenaire CISP fournisse des services à valeur ajoutée, autres
que le maintien d’une relation contractuelle avec le CISP, fournissant des services de facturation
consolidés et un accès direct et en temps voulu aux données d’utilisation et de facturation
associées à l’utilisation des services de fournisseur de cloud ?
Est-il nécessaire de faire appel à un revendeur à valeur ajoutée offrant des services complets, à un
intégrateur système ou à un fournisseur de services managés, ou à toute forme de services de
main-d’œuvre informatiques ?
Il est important de noter qu’un CISP n’est pas un intégrateur de système (SI, Systems Integrator) ni un
fournisseur de service managé (MSP, Managed Service Provider). De nombreux clients du secteur public
auront besoin d’un CISP pour leur IaaS/PaaS, et délègueront le consulting et la planification, la migration et
la gestion informatiques à un SI ou MSP. L’image 2 ci-dessous décrit les rôles et responsabilités dans un
modèle de services de cloud.
12Achat de cloud par le secteur public
Image 2 : un AO de services de cloud doit fournir aux utilisateurs finaux un menu de tous les services de cloud dont ils
ont besoin. Les clients du secteur public auront besoin d’un CISP pour les technologies cloud, d’une marketplace pour
les produits PaaS et SaaS si besoin, puis le client pourra déterminer l’importance du rôle qu’il veut jouer dans l’apport
de services de cloud et la part qu’il souhaite déléguer à une entreprise de consultation/un intégrateur systèmes/un
fournisseur de services managés/etc.
L’exemple de texte ci-dessous s’appuie sur les rôles et responsabilités indiqués dans l’image 2 ci-dessus.
Un accord-cadre de cloud et l’AO de services de cloud associé, doivent veiller à ce que les acheteurs
puissent évaluer de manière adéquate les offres de chaque fournisseur, ce qui leur permettra ensuite de
faire leur choix parmi les services requis pour l’application/le projet. La meilleure façon de procéder
consiste à séparer les services en lots, comme indiqué précédemment, et à déterminer clairement
comment sont menés les contrats exécutoires et les mini compétitions en vertu de l’accord-cadre.
Exemple de texte d’AO : modèle d’achat
Ce contrat servira de vecteur d’achat pour le Cadre. Cet accord-cadre de cloud comprendra plusieurs lots tels que
définis par l’, pour les technologies cloud et les services/produits de marketplace associés, les services
de consulting, les services professionnels/l’intégration système/les services managés/les services de migration
professionnelle, la formation et le support, tels que définis par l’, et sera utilisé par plusieurs
acheteurs éligibles affiliés à l’. Cela simplifiera le processus d’acquisition tout en optimisant les
économies d’échelle.
Une fois établi, cet accord-cadre permet à une organisation d’acheter les technologies cloud spécifiques et les services
liés au cloud souhaités au moment de leur choix, par opposition à l’achat via des approvisionnements distincts. Ce type
d’approche réduit les exigences administratives et diminue fortement la complexité et la durée du cycle
d’approvisionnement.
La durée de l’accord-cadre sera au maximum de années, renouvellements inclus. La durée maximale d’un contrat
exécutoire de cadre est généralement de mois ; cette durée peut être prolongée de mois, puis à nouveau de
13Vous pouvez aussi lire
